Portanforderungen
Damit Geräte und Apps mit XenMobile kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Die folgenden Tabellen enthalten eine Liste der Ports, die geöffnet sein müssen.
Öffnen von Ports für Citrix Gateway und XenMobile zum Verwalten von Apps
Öffnen Sie die folgenden Ports, damit Benutzer über Citrix Gateway Verbindungen von Citrix Secure Hub, Citrix Receiver und dem Citrix Gateway Plug-In zu den folgenden Komponenten herstellen können:
- XenMobile
- StoreFront
- Citrix Virtual Apps and Desktops
- Citrix Gateway Connector für Exchange ActiveSync
- Andere interne Netzwerkressourcen, z. B. Intranet-Websites
Um Datenverkehr für Launch Darkly von Citrix ADC zu aktivieren, können Sie die in diesem Artikel im Support Knowledge Center aufgeführten IP-Adressen verwenden.
Weitere Informationen zu Citrix Gateway finden Sie in der Citrix Gateway-Dokumentation. Diese Dokumentation enthält Informationen zur Citrix ADC-IP-Adresse (NSIP), IP-Adresse des virtuellen Servers (VIP) und Subnetz-IP-Adresse (SNIP).
| TCP-Port | Beschreibung | Quelle | Ziel |
|---|---|---|---|
| 21 oder 22 | Dient zum Senden von Supportpaketen an einen FTP- oder SCP-Server. | XenMobile | FTP oder SCP-Server |
| 53 (TCP und UDP) | Wird für DNS-Verbindungen verwendet. | Citrix Gateway, XenMobile | DNS-Server |
| 80 | Citrix Gateway leitet die VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. Dies geschieht in der Regel, wenn Benutzer sich mit dem Citrix Gateway Plug-In anmelden. | Citrix Gateway | Intranet-Websites |
| 80 oder 8080; 443 | XML- und Secure Ticket Authority-Port (STA) für Enumeration, Ticketing und Authentifizierung. Citrix empfiehlt, Port 443 zu verwenden. | XML-Netzwerkdatenverkehr mit StoreFront und Webinterface; Citrix Gateway STA | Virtuelle Apps oder Desktops |
| 123 (TCP und UDP) | Wird für Network Time Protocol-Dienste (NTP) verwendet. | Citrix Gateway; XenMobile | NTP-Server |
| 389 | Wird für unsichere LDAP-Verbindungen verwendet. | Citrix Gateway; XenMobile | LDAP-Authentifizierungsserver oder Microsoft-Active Directory |
| 443 | Wird für Verbindungen zwischen StoreFront und Citrix Receiver und zwischen Receiver für Web und Virtual Apps and Desktops verwendet. | Internet | Citrix Gateway |
| 443 | Wird für Verbindungen mit XenMobile zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. | Internet | Citrix Gateway |
| 443 | Wird für die allgemeine Gerätekommunikation mit XenMobile Server verwendet. | XenMobile | XenMobile |
| 443 | Wird für Verbindungen von mobilen Geräten zu XenMobile für die Registrierung verwendet. | Internet | XenMobile |
| 443 | Wird für Verbindungen von XenMobile zum Citrix Gateway Connector für Exchange ActiveSync verwendet. | XenMobile | Citrix Gateway Connector für Exchange ActiveSync |
| 443 | Wird für Verbindungen vom Citrix Gateway Connector für Exchange ActiveSync zu XenMobile verwendet. | Citrix Gateway Connector für Exchange ActiveSync | XenMobile |
| 443 | Wird für die Callback-URL in Bereitstellungen ohne Zertifikatauthentifizierung verwendet. | XenMobile | Citrix Gateway |
| 514 | Wird für Verbindungen zwischen XenMobile und einem syslog-Server verwendet. | XenMobile | syslog-Server |
| 636 | Wird für sichere LDAP-Verbindungen verwendet. | Citrix Gateway; XenMobile | LDAP-Authentifizierungsserver oder Active Directory |
| 1494 | Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. | Citrix Gateway | Virtuelle Apps oder Desktops |
| 1812 | Wird für RADIUS-Verbindungen verwendet. | Citrix Gateway | RADIUS-Authentifizierungsserver |
| 2598 | Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. | Citrix Gateway | Virtuelle Apps oder Desktops |
| 3268 | Wird für unsichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. | Citrix Gateway; XenMobile | LDAP-Authentifizierungsserver oder Active Directory |
| 3269 | Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. | Citrix Gateway; XenMobile | LDAP-Authentifizierungsserver oder Active Directory |
| 9080 | Wird für HTTP-Datenverkehr zwischen Citrix ADC und dem Citrix Gateway Connector für Exchange ActiveSync verwendet. | Citrix ADC | Citrix Gateway Connector für Exchange ActiveSync |
| 30001 | Verwaltungs-API für die Erstbereitstellung des HTTPS-Diensts | Internes LAN | XenMobile Server |
| 9443 | Wird für HTTPS-Datenverkehr zwischen Citrix ADC und dem Citrix Gateway Connector für Exchange ActiveSync verwendet. | Citrix ADC | Citrix Gateway Connector für Exchange ActiveSync |
| 45000; 80 | Wird in Clusterbereitstellungen für die Kommunikation zwischen zwei XenMobile-VM verwendet. Port 80 ist für die Kommunikation zwischen Knoten und für den SSL-Offload bestimmt. | XenMobile | XenMobile |
| 8443 | Wird für die Registrierung, den XenMobile Store und die Mobilanwendungsverwaltung (MAM) verwendet. | XenMobile; Citrix Gateway; Geräte; Internet | XenMobile |
| 4443 | Wird von Administratoren für den Zugriff auf die XenMobile-Konsole über einen Browser verwendet. Wird außerdem für den Download von Protokollen und Supportpaketen für alle XenMobile-Clusterknoten von einem Knoten verwendet. | Zugriffspunkt (Browser); XenMobile | XenMobile |
| 27000 | Der Standardport für den Zugriff auf den externen Citrix Lizenzserver. | XenMobile | Citrix Lizenzserver |
| 7279 | Der Standardport zum Ein- und Auschecken von Citrix Lizenzen | XenMobile | Citrix Vendor Daemon |
| 161 | Wird für den SNMP-Datenverkehr mit UDP-Protokoll verwendet. | SNMP-Manager | XenMobile |
| 162 | Wird zum Senden von SNMP-Traps von XenMobile an den SNMP-Manager verwendet. XenMobile ist die Quelle und der SNMP-Manager ist das Ziel. | XenMobile | SNMP-Manager |
Öffnen von XenMobile-Ports zum Verwalten von Geräten
Öffnen Sie die folgenden Ports, damit XenMobile im Netzwerk kommunizieren kann.
| TCP-Port | Beschreibung | Quelle | Ziel |
|---|---|---|---|
| 25 | Standard-SMTP-Port für den XenMobile-Benachrichtigungsdienst Wenn Ihr SMTP-Server einen anderen Port verwendet, stellen Sie sicher, dass die Firewall diesen Port nicht sperrt. | XenMobile | SMTP-Server |
| 80 und 443 | Verbindung zwischen dem Unternehmensappstore und dem Apple iTunes-App-Store oder Google Play (muss 80 verwenden). Wird für Apple Volume Purchase verwendet. Wird zum Veröffentlichen von Apps aus den App-Stores unter iOS oder Secure Hub für Android verwendet. | XenMobile |
ax.apps.apple.com und *.mzstatic.com; vpp.itunes.apple.com; login.live.com; *.notify.windows.com; play.google.com, android.clients.google.com, android.l.google.com
|
| 80 oder 443 | Wird für ausgehende Verbindungen zwischen XenMobile und Nexmo SMS Notification Relay verwendet. | XenMobile | Nexmo SMS Relay-Server |
| 389 | Wird für unsichere LDAP-Verbindungen verwendet. | XenMobile | LDAP-Authentifizierungsserver oder Active Directory |
| 443 | Wird für die Registrierung und das Agent-Setup für Android verwendet. | Internet | XenMobile |
| 443 | Wird für die Registrierung und das Agent-Setup für Android- und Windows-Geräte und den MDM-Client für Remotesupport verwendet. | Internet - LAN und Wi-Fi | XenMobile |
| 1433 | Wird standardmäßig für Verbindungen mit einem Remotedatenbankserver verwendet (optional). | XenMobile | SQL Server |
| 443 oder 2197 | Wird zum Senden von APNs-Benachrichtigungen an *.push.apple.com verwendet. |
XenMobile | Internet (APNs-Hosts mit öffentlicher IP-Adresse 17.0.0.0/8) |
| 5223 | Wird für ausgehende APNs-Verbindungen von iOS-Geräten an *.push.apple.com verwendet. |
iOS-Geräte | Internet (APNs-Hosts mit öffentlicher IP-Adresse 17.0.0.0/8) |
| 8081 | Wird für die App-Tunnel des optionalen MDM-Remotesupportclients verwendet. Standardwert: 8081. | Remotesupportclient | XenMobile |
| 8443 | Wird für die Registrierung von iOS-Geräten verwendet. | Internet; LAN und Wi-Fi | XenMobile |
Portanforderungen für die Verbindung mit dem AutoDiscovery Service
Diese Portkonfiguration gewährleistet, dass auf Android-Geräten mit Secure Hub für Android über das interne Netzwerk auf den Citrix AutoDiscovery Service (ADS) zugegriffen werden kann. Sie benötigen Zugriff auf ADS, um über ADS bereitgestellte Sicherheitsupdates herunterzuladen.
Hinweis:
ADS-Verbindungen unterstützen Ihren Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.
Wenn Sie Zertifikatpinning aktivieren möchten, treffen Sie folgende Vorbereitungen:
- Sammeln von XenMobile Server- und Citrix ADC-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
- Öffnen Sie einen Supportfall beim Citrix Support zum Aktivieren von Zertifikatpinning: Bei diesem Prozess werden Ihre Zertifikate angefordert.
Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen verfügt. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.
Damit der Zugriff auf ADS für Secure Hub für Android oder iOS möglich ist, öffnen Sie Port 443 für den folgenden FQDN:
| FQDN | Port | IP- und Port-Nutzung |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub – ADS-Kommunikation über CloudFront |
Weitere Informationen zu unterstützten IP-Adressen finden Sie unter Cloud-based storage centers from AWS.
Netzwerkanforderungen für Android Enterprise
Weitere Informationen zu den ausgehenden Verbindungen beim Einrichten von Netzwerkumgebungen für Android Enterprise finden Sie im Google-Hilfeartikel Android Enterprise Network Requirements.
Portanforderungen für XenMobile
Die folgenden Zielhosts müssen vom Netzwerk erreichbar sein, um ein Managed Google Play-Unternehmen zu erstellen und auf den Managed Google Play iFrame zuzugreifen. Google hat den Managed Google Play iFrame für EMM-Entwickler freigegeben, um die Suche und Genehmigung von Apps zu vereinfachen. Um Managed Play iFrame verwenden zu können, muss der Browser, von dem aus Sie auf die XenMobile-Konsole zugreifen, Zugriff auf Google Play haben.
| Zielhost | Port | Beschreibung |
|---|---|---|
play.google.com |
TCP/443 | Für die Anmeldung an Google Play Store und Play Enterprise |
*.googleapis.com |
TCP/443 | Für Google Mobile Management, Google APIs, Google Play Store APIs und FCM |
accounts.youtube.com, accounts.google.com
|
TCP/443 | Für die Kontoauthentifizierung |
apis.google.com |
TCP/443 | Für Google-Webdienste |
ogs.google.com |
TCP/443 | Für iFrame-UI-Elemente |
notifications.google.com |
TCP/443 | Für Desktop- und Mobilbenachrichtigungen |
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
|
TCP/443 | Für benutzergenerierte Google Fonts-Inhalte. Zum Beispiel die App-Symbole im Store |
cri.pki.goog, ocsp.pki.goog
|
TCP/443 | Wird für die Zertifikatvalidierung verwendet |